Power BI 实现计划:内容创建者安全性计划
备注
本文是 Power BI 实现规划系列文章中的一篇。 本系列着重介绍 Microsoft Fabric 中的 Power BI 体验。 有关该系列的介绍,请参阅 Power BI 实施规划。
此安全规划文章介绍负责创建语义模型、数据流、数据市场、报表或仪表板的内容创建者的策略。 主要面向以下对象:
- Power BI 管理员:负责监督组织的 Power BI 的管理员。
- 卓越中心、IT 和 BI 团队:还负责监督 Power BI 的团队。 他们可能需要与 Power BI 管理员、信息安全团队和其他相关团队协作。
- 内容创建者和所有者:需要创建、发布、保护和管理其他人使用的内容的自助式 BI 创建者。
本系列文章旨在详细阐述 Power BI 安全白皮书中的内容。 Power BI 安全白皮书侧重于身份验证、数据驻留和网络隔离等关键技术主题,本系列文章的主要目标则是介绍用于帮助规划安全和隐私的注意事项和决策。
在组织中,许多用户都是内容创建者。 内容创建者生成并发布其他人查看的内容。 内容创建者是本文的重点。
提示
建议先查看报表使用者安全规划一文。 该文章介绍了有关向只读使用者安全提供内容的策略,包括如何强制实施数据安全性。
面向内容创建者的策略
治理良好的自助式 BI 系统的基础始于内容创建者和所有者。 他们将创建并验证语义模型和报表。 在许多情况下,内容创建者还会设置权限来管理其内容的安全性。
提示
建议你培养一种数据文化,使数据的安全性和保护成为每个人角色的正常部分。 为实现这一目标,给予用户教育、支持和培训至关重要。
出于安全和权限的目的,需要考虑两种类型的内容创建者:数据创建者和报表创建者。 他们可以负责创建和管理企业 BI 或自助式 BI 内容。
数据创建者
数据创建者是指创建语义模型、数据流或数据市场的任何 Power BI 用户。
下面是常见的数据创建者场景。
- 创建新语义模型:在 Power BI Desktop 中创建并测试新的数据模型。 然后,将该模型发布到 Power BI 服务,以便它可以用作许多报表的共享语义模型。 有关重复使用共享语义模型的详细信息,请参阅托管的自助式 BI 使用方案。
- 扩展和自定义语义模型:在 Power BI Desktop 中创建与现有共享语义模型的实时连接。 将实时连接转换为本地模型,以便允许使用新表或新列扩展模型设计。 有关扩展和自定义共享语义模型的详细信息,请参阅可自定义的托管自助式 BI 使用方案。
- 创建新的数据流:在Power BI 服务中,创建新的数据流,以便作为源供众多语义模型使用。 有关重复使用数据准备活动的详细信息,请参阅自助式数据准备使用方案。
- 创建新的数据市场。 在 Power BI 服务创建新的数据市场。
数据创建者通常是企业 BI 团队和卓越中心 (COE) 中的成员。 他们还在维护和管理自己数据的分散式业务单位和部门中发挥着关键作用。
有关商业主导式 BI、托管的自助式 BI 和企业 BI 的其他注意事项,请参阅内容所有权和管理一文。
报表创建者
报表创建者创建报表和仪表板,以可视化来自现有语义模型的数据。
下面是常见的报表创建者场景。
- 创建包含数据模型的新报表:在 Power BI Desktop 中创建并测试新的报表和数据模型。 包含一个或多个报表页面并包含数据模型的 Power BI Desktop 文件将被发布到 Power BI 服务。 新内容创建者通常会在使用此方法之后才会知道如何使用共享语义模型。 该方法还适用于不需要重复使用数据的狭隘用例。
- 创建实时连接报表:创建新的 Power BI 报表,以连接到 Power BI 服务中的共享语义模型。 有关重复使用共享语义模型的详细信息,请参阅托管的自助式 BI 使用方案。
- 创建已连接的 Excel 工作簿:创建新的 Excel 报表,以连接到 Power BI 服务中的共享语义模型。 强烈建议使用已连接 Excel 版本,而不是下载数据。
- 创建 DirectQuery 报表:创建一个新的 Power BI 报表,用于在 DirectQuery 模式下连接到受支持的数据源。 如果希望利用由源系统实现的用户安全性,使用此方法会很有用。
报表创建者遍布组织中的每个业务部门。 组织中报表创建者通常比数据创建者多得多。
提示
虽然并非每个语义模型都是共享语义模型,但仍值得采用托管的自助式 BI 策略。 此策略会尽可能重复使用共享语义模型。 这样,就可分开创建报表和数据。 任何业务部门的任何内容创建者都可有效地使用此策略。
创建者权限
本部分介绍数据创建者和报表创建者的最常见权限。
本部分并非旨在提供包含所有可能权限的全能列表。 相反,它旨在帮助计划支持不同类型的内容创建者的策略。 目标应是遵循最小特权原则。 此原则为用户提供了足够的权限,使其能够高效工作,而不会过度预配权限。
创建新课程
创建新内容通常需要以下权限。
权限 | 报表创建者 | 语义模型创建者 | 数据流创建者 | 数据市场创建者 |
---|---|---|---|---|
访问基础数据源 | ||||
语义模型读取和生成权限 | ||||
数据流读取权限(当数据流用作源时,通过工作区查看者角色读取) | ||||
存储原始 Power BI Desktop 文件时访问 | ||||
使用自定义视觉对象的权限 |
发布内容的权限
发布内容通常需要以下权限。
权限 | 报表创建者 | 语义模型创建者 | 数据流创建者 | 数据市场创建者 |
---|---|---|---|---|
工作区角色:参与者、成员或管理员 | ||||
语义模型写入权限(用户不属于工作区角色时) | ||||
用于发布项的部署管道角色(可选) |
正在刷新数据
刷新数据通常需要以下权限。
权限 | 报表创建者 | 语义模型创建者 | 数据流创建者 | 数据市场创建者 |
---|---|---|---|---|
所有者分配的权限(谁已设置设置或接管项) | ||||
访问基础数据源(不使用网关时) | ||||
访问网关中的数据源(当源位于本地或虚拟网络中时) |
本文的其余部分介绍内容创建者权限的注意事项。
提示
有关与查看内容相关的权限,请参阅报表使用者安全性计划一文。
清单 - 为内容创建者计划安全策略时,关键决策和操作包括:
- 确定数据创建者是谁:确保熟悉创建语义模型、数据流和数据市场的人员。 开始安全计划活动之前,请验证你是否了解它们的需求。
- 确定报表创建者是谁:确保熟悉创建报表、仪表板、工作簿和记分卡的人员。 开始安全计划活动之前,请验证你是否了解它们的需求。
探索创建者的内容
用户可以依靠数据发现来查找语义模型和数据市场。 数据发现是一项 Power BI 功能,它允许内容创建者查找现有数据资产,即使他们对该内容没有任何权限。
发现现有数据对于以下方面很有用:
- 希望将现有语义模型用于新报表的报表创建者。
- 希望从现有数据市场查询数据的报表创建者。
- 希望将现有语义模型用于新报表的报表创建者。
注意
Power BI 中的数据发现并不是数据安全权限。 它是一种设置,允许报表创建者读取元数据,从而帮助他们发现数据并请求访问数据。
如果语义模型或数据市场获得认可(认证或升级),可以将它设置为可发现。 如果数据集为可发现,内容创建者可在数据中心找到它。
内容创建者还可请求访问语义模型或数据市场。 从本质上讲,访问请求可请求生成权限,这是基于它本身创建新内容所必需的。 响应访问请求时,请考虑使用组而不是单个用户。 有关如何将组用于此目的的详细信息,请参阅使用者的请求访问工作流。
请考虑下面的三个示例。
- 销售摘要语义模型已经过认证。 它是售后跟踪的受信任且权威的来源。 组织中的许多自助式报表创建者都使用此语义模型。 因此,有许多基于此语义模型的现有报表和复合模型。 此语义模型设置为可发现,为的是鼓励其他创建者查找和使用它。
- 库存统计信息语义模型已经过认证。 它是清单分析的受信任且权威的来源。 语义模型和相关报表由企业 BI 团队维护和分发。 由于语义模型设计复杂,只有企业 BI 团队才能创建和维护清单内容。 由于目标是阻止报表创建者使用语义模型,因此不会将其设置为“可发现”。
- 高管奖金语义模型包含高度机密的信息。 查看或更新此语义模型的权限仅适用于少数用户。 此语义模型未设置为可发现模型。
以下屏幕截图显示了 Power BI 服务数据中心内的语义模型。 具体而言,它显示了可发现语义模型的请求访问消息的示例。 当用户当前没有访问权限时,将显示此消息。 已在语义模型设置中自定义请求访问消息。
请求访问消息读取:对于 MTD/QTD/YTD 的标准销售报告,此语义模型是权威和经过认证的源。请通过填写位于 https://COE.contoso.com/RequestAccess
的表单来请求访问语义模型。系统将要求你提供简短的业务理由,并且需要经过卓越中心经理批准。访问权限每六个月审核一次。
注意
你的数据文化和你对数据民主化的立场应会对你是否启用数据发现产生重大影响。 有关数据发现的详细信息,请参阅可自定义的托管自助式 BI 使用方案。
有三个租户设置与发现相关。
- “发现内容”租户设置使 Power BI 管理员能够设置允许发现数据的用户组。 此设置主要适用于在创建报表时可能需要查找现有语义模型的报表创建者。 它还适用于可能会查找可在其复合模型开发中使用的现有数据的语义模型创建者。 虽然可以针对特定安全组设置此设置,但最好为整个组织启用此设置。 单个语义模型和数据流的发现设置将控制可发现的内容。 不太常见的情况是,可考虑将此功能限制为仅供获得批准的内容创建者使用。
- 通过“使已认证内容可发现”租户设置,Power BI 管理员能够设置可将内容设置为可发现的组(如果他们还具有编辑项目的权限以及认证内容的权限,这些权限由“认证”租户设置)。 应严格控制认证内容的能力。 在大多数情况下,应允许可认证内容的同一用户将其设置为可发现内容。 在某些情况下,你可能希望将此功能限制为仅供已获得批准的数据创建者使用。
- 通过“使已升级的内容可发现”租户设置,Power BI 管理员能够设置可将内容设置为可发现的组(如果他们也具有编辑数据的权限)。 由于升级内容的功能对所有内容创建者都是开放的,因此在大多数情况下,此功能应可供所有用户使用。 不太常见的情况是,可考虑将此功能限制为仅供获得批准的内容创建者使用。
清单 - 为内容创建者计划数据发现时,关键决策和操作包括:
- 明确数据发现需求:请考虑组织在鼓励内容创建者查找现有语义模型和数据市场方面的立场。 如果适用,请创建有关应如何使用数据发现的治理策略。
- 确定谁可以发现内容:确定是否允许任何 Power BI 用户发现内容,或者是否应将发现限制为仅供某些用户组(例如一组已获得批准的内容创建者)使用。 设置“发现内容”租户设置,使其与此决定保持一致。
- 确定谁可以将认证内容设置为可发现:确定任何 Power BI 用户(有权编辑语义模型或数据市场,以及有权对其进行认证)是否可以将其设置为可发现。 设置“使认证内容可发现”租户设置,使其与此决策保持一致。
- 确定谁可以将已升级内容设置为可发现:确定任何 Power BI 用户(有权编辑语义模型或数据市场)是否可以将其设置为可发现。 设置“使已升级内容可发现”租户设置,使其与此决策保持一致。
- 包含面向语义模型创建者的文档和培训:为语义模型创建者提供有关何时适合对他们拥有和管理的语义模型和数据市场使用数据发现的指南。
- 包含面向报表创建者的文档和培训:为内容创建者提供有关数据发现工作原理及其预期内容的指南。
创建者的请求访问工作流
用户可以通过两种方式请求访问内容。
- 对于内容使用者:用户会收到指向 Power BI 服务中的现有报表或应用的链接。 若要查看该项,使用者可以选择“请求访问”按钮。 有关详细信息,请参阅报表使用者安全性计划一文。
- 对于内容创建者:用户可在数据中心发现语义模型或数据市场。 要基于现有数据创建新的报表或复合模型,内容创建者可选择“请求访问”按钮。 此体验是本部分的重点内容。
默认情况下,对语义模型或数据市场的访问权限请求将传递给所有者。 所有者是上次计划数据刷新或输入凭据的用户。 对于团队语义模型,只依赖一个用户来处理访问请求是可接受的。 但此做法可能不切实际或可靠。
因此建议不要只依赖一个所有者,可以定义自定义说明,当用户请求访问语义模型或数据市场时,向其显示这些说明。 自定义说明在以下情况下非常有用:
- 语义模型设置为可发现。
- 访问请求的审批将由数据所有者以外的人完成。
- 有一个访问请求需要遵循的现有流程。
- 出于审核或合规性目的,需要跟踪请求访问的人员、访问时间以及访问原因。
- 需要说明如何请求访问以及如何设置预期。
以下屏幕截图显示了用户请求生成权限时看到的设置自定义说明的示例。 自定义说明读取:对于 MTD/QTD/YTD 的标准销售报告,此语义模型是权威和经过认证的源。请通过填写位于 https://COE.contoso.com/RequestAccess
的表单来请求访问语义模型。系统将要求你提供简短的业务理由,并且需要经过卓越中心经理批准。访问权限每六个月审核一次。
有多个用于创建表单的选项。 Power Apps 和 Microsoft Forms 都是低代码、易于使用的选项。 建议以独立于单个用户的方式创建表单。 由适当的团队创建、管理和监视表单至关重要。
建议为以下对象创建有用信息:
- 内容创建者,以便他们知道在请求访问权限时会发生什么情况。
- 内容所有者和管理员,以便他们知道如何管理提交的请求。
提示
有关响应使用者的读取访问请求的详细信息,请参阅使用者的请求访问工作流。 它还包括有关使用组(而不是单个用户)的信息。
清单 - 计划“请求访问”工作流时,关键决策和操作包括:
- 阐明有关如何处理访问请求的首选项:确定在哪些情况下可以批准所有者,以及何时应使用不同的流程。 在适当情况下,创建有关应如何处理访问请求的治理策略。
- 包括面向语义模型和数据市场创建者的文档和培训:为语义模型和数据市场创建者提供有关如何以及何时为访问请求设置自定义说明的指南。
- 包括面向报表创建者的文档和培训:为报表创建者提供有关请求语义模型和数据市场生成权限时可以预期的内容的指南。
创建和发布内容
本部分包括适用于内容创建者的安全方面。
注意
对于查看报表、仪表板和记分卡的使用者,请参阅报表使用者安全性计划一文。 这篇文章也介绍了与应用权限相关的注意事项。
工作区角色
可通过将用户或组(包括安全组、Microsoft 365 组和通讯组列表)添加到工作区角色来授予工作区访问权限。 通过将用户分配给工作区角色,你可指定他们可以对工作区及其内容执行的操作。
由于工作区的主要目的是协作,因此工作区访问权限主要与拥有和管理其内容的用户相关。 开始计划工作区角色时,建议问自己以下问题。
- 对工作区中的协作方式有何预期?
- 谁将负责管理工作区中的内容?
- 是否打算将单个用户或组分配给工作区角色?
有四个 Power BI 工作区角色:管理员、成员、参与者和查看者。 前三个角色与创建和发布内容的内容创建者相关。 查看者角色与只读使用者相关。
这四个工作区角色的权限是嵌套的。 这意味着工作区管理员拥有成员、参与者和查看者使用的所有功能。 同样,成员拥有参与者和查看者使用的所有功能。 参与者拥有查看者使用的所有功能。
提示
有关这四个角色中每个角色的权威参考,请参阅工作区角色文档。
工作区管理员
指定为管理员角色的用户将成为工作区管理员。 他们可以管理所有设置并执行所有操作,包括添加或删除用户(包括其他工作区管理员)。
工作区管理员可以更新或删除 Power BI 应用(如果存在)。 他们可以有选择地让参与者为工作区更新应用。 有关详细信息,请参阅本文后面的工作区角色的变体。
提示
涉及管理员时,请务必阐明你讲的是工作区管理员还是 Power BI 租户级管理员。
请务必确保工作区管理员必须是受信任的可靠人员。 工作区管理员拥有很高的特权。 他们可以查看和管理工作区中的所有内容。 他们可以为任何工作区角色添加或删除用户(包括其他管理员)。 他们还可以删除工作区。
建议至少有两个管理员,以便在主管理员不可用时,有一个替补管理员。 没有管理员的工作区称为“孤立工作区”。 当用户离开组织并且没有为工作区分配替代管理员时,就会出现孤立状态。 有关如何检测和修复孤立工作区的详细信息,请参阅查看工作区一文。
理想情况下,应能够根据谁是工作区管理员和成员(以及为工作区指定的联系人)来确定负责工作区内容的人员。 但是,某些组织采用内容所有权和管理策略,将工作区的创建限制为特定用户或组。 它们通常有一个由 IT 部门管理的既定工作区创建流程。 在这种情况下,工作区管理员将是 IT 部门,而不是直接创建和发布内容的用户。
工作区成员
分配给“成员”角色的用户可以添加其他工作区用户(但不能添加管理员)。 他们还可以管理工作区中所有内容的权限。
工作区成员可以发布或取消发布工作区的应用,共享工作区项或应用,并允许其他用户共享应用的工作区项。
工作区成员应限制为需要管理工作区内容的创建和发布应用的用户。 在某些情况下,工作区管理员满足该目的,因此你可能不需要将任何用户或组分配给“成员”角色。 当工作区管理员与工作区内容不直接相关时(例如,由 IT 管理工作区创建过程),工作区成员可能是对工作区内容负责的实际所有者。
工作区参与者
指定为“参与者”角色的用户可以创建、编辑或删除工作区内容。
参与者无法更新 Power BI 应用(当工作区存在一个应用时),除非工作区设置允许这样做。 有关详细信息,请参阅本文后面的工作区角色的变体。
组织中的大多数内容创建者都是工作区参与者。
工作区查看器
指定为“查看者”角色的用户可以查看所有工作区内容并与之交互。
查看者角色与小型团队和非正式场景的只读使用者相关。 报表使用者安全性计划一文中全面介绍了这一点。
工作区所有权注意事项
请考虑一个示例,执行以下操作来设置新工作区。
- 卓越中心 (COE) 的特定 Power BI 支持者和附属成员已获得在租户设置中创建新工作区的权限。 他们已接受内容组织策略和命名标准方面的培训。
- 你(内容创建者)提交请求,以便为要管理的新项目创建工作区。 工作区将包含跟踪项目进度的报表。
- 你的业务部门的 Power BI 支持者收到请求。 他们确定新工作区是否合理。 然后他们会创建一个工作区并将 Power BI 支持者安全组(隶属于他们的业务部门)指定为工作区管理员角色。
- Power BI 支持者会将你(内容创建者)指定为工作区成员角色。
- 你将一位值得信任的同事分配给工作区成员角色,以确保在你离开后有人替补。
- 你将其他同事指定为工作区参与者角色,因为他们将负责创建工作区内容,包括语义模型和报表。
- 你将经理指定为工作区查看者角色,因为他们请求了监视项目进度的访问权限。 你的经理希望在发布应用之前查看工作区中的内容。
- 你负责管理其他工作区属性,例如说明和联系人。 你还负责持续管理工作区访问。
上面的示例演示了一种有效方法,使分散式业务部门能够独立运作。 它还展示了最小特权原则。
对于受治理的内容或管理更严格的关键内容,最佳做法是为组而不是单个用户帐户分配工作区角色。 这样,就可以从工作区中单独管理组成员身份。 但是,为组分配角色时,用户可能会分配有多个工作区角色(因为用户属于多个组)。 在这种情况下,他们的有效权限基于为其分配的最高角色。 有关更多注意事项,请参阅使用组的策略。
当一个工作区由多个个体或团队共同拥有时,内容的管理会变得很复杂。 可尝试通过分离工作区来避免多团队所有权场景。 这样,责任会更加明确,角色分配也更易于设置。
工作区角色的变体
这四个工作区角色(上文已描述)有两种变体。
- 默认情况下,只有工作区管理员和成员才能创建、发布和更新工作区应用。 允许参与者更新此工作区的应用选项设置是工作区级设置,此设置使工作区管理员能够将更新工作区应用的能力委托给参与者。 但是,参与者不能发布新应用,也不能更改有权编辑应用的用户。 如果希望参与者能够更新应用(当工作区存在应用时)但不授予成员可用的其他权限,此设置很有用。
- “阻止重新发布并禁用程序包刷新”租户设置仅允许语义模型所有者发布更新。 启用后,工作区管理员、成员和参与者无法发布更改,除非他们首先接管语义模型作为其所有者。 由于此设置适用于整个组织,因此请谨慎启用它,因为它会影响租户的所有语义模型。 请确保向语义模型创建者传达预期内容,因为这会更改工作区角色的正常行为。
重要
还可将按项权限视为标准工作区角色的替代内容。 有关按项权限的详细信息,请参阅报表使用者安全性计划一文。
清单 - 计划工作区角色时,关键决策和操作包括:
- 创建职责矩阵:确定在创建、维护、发布、保护和支持内容时每个职能的负责人。 在计划工作区角色时使用此信息。
- 确定为内容创建者分配工作区角色的策略:确定哪些用户在何种情况下(例如作业角色或主题领域)应是管理员、成员或参与者。 如果存在导致安全问题的不匹配项,请重新考虑如何更好地组织工作区。
- 确定应如何将安全组与个人用于工作区角色:确定使用组所需的用例和目的。 具体说明何时应使用用户帐户应用安全性,而不是何时需要或首选组。
- 为内容创建者提供有关管理工作区角色的指导:为内容创建者提供有关如何管理工作区角色的文档。 在集中式门户和培训材料中发布此信息。
- 设置和测试工作区角色分配:验证内容创建者是否具有编辑和发布内容所需的功能。
应用创建者权限
作为工作区管理员或成员的内容创建者可以创建和发布 Power BI 应用。
工作区管理员还可以在工作区中指定一项设置,即允许工作区参与者更新应用。 此设置是工作区角色安全性的一种变体,因为它向参与者授予了他们通常不会拥有的一项其他权限。 此设置基于每个工作区进行设置。
提示
有关向只读使用者传递内容的详细信息,请参阅报表使用者安全性计划一文。 本文包含有关应用使用者(包括应用的受众)的应用权限信息。
清单 - 计划应用创建者权限时,关键决策和操作包括:
- 确定可创建和发布 Power BI 应用的人员的策略:明确应允许谁创建和发布 Power BI 应用。
- 确定参与者何时可以更新 Power BI 应用:明确应允许参与者更新 Power BI 应用的情况。 需要此功能时更新工作区设置。
数据源权限
当数据创建者启动新项目时,访问外部数据源所需的权限是他们需要首先考虑的安全相关注意事项之一。 他们可能还需要有关其他数据源问题的指导,包括隐私级别、本机数据库查询和自定义连接器。
访问数据源
当数据创建者创建语义模型、数据流或数据市场时,他们必须使用数据源进行身份验证才能检索数据。 身份验证通常涉及用户凭据(帐户和密码),对于服务帐户可能是这样。
有时,创建用于访问数据源的特定服务帐户很有用。 请与 IT 部门联系,获取有关如何在组织中使用服务帐户的指导。 在允许的情况下,使用服务帐户可以:
- 集中数据源所需的权限。
- 减少需要数据源权限的单个用户数。
- 避免用户离开组织时出现数据刷新失败。
提示
如果选择使用服务帐户,建议严格控制有权访问凭据的人员。 定期(例如每三个月)或在有权访问的人离开组织时轮换密码。
访问数据源时,应用最小特权原则以确保用户(或服务帐户)有权读取仅他们需要的数据。 他们绝不应有权执行数据修改。 创建这些服务帐户的数据库管理员应查询预期的查询和工作负载,并采取措施确保提供充分的优化(如索引)和足够的资源。
提示
如果很难为自助式数据创建者提供直接数据源访问权限,请考虑使用间接方法。 可以在 Power BI 服务中创建数据流,并允许自助式数据创建者从中获取数据。 这种方法具有额外的好处,可以减少数据源上的查询负载并提供一致的数据快照。 有关详细信息,请参阅自助式数据准备和高级数据准备使用方案。
可通过以下两种方式之一应用凭据(帐户和密码)。
- Power BI Desktop:加密凭据并将其存储在本地用户计算机上。
- Power BI 服务:针对以下任一项对凭据进行加密并安全存储:
提示
如果已输入语义模型数据源的凭据,Power BI 服务会在连接字符串和数据库名称完全匹配时自动将这些凭据绑定到其他语义模型数据源。 Power BI 服务和 Power BI Desktop 看起来都像是在为每个数据源输入凭据。 但是,它可以将相同的凭据应用于具有相同所有者的匹配数据源。 在这方面,语义模型凭据的范围限定为所有者。
凭据在 Power BI Desktop 和 Power BI 服务中与数据模型分开进行加密和存储。 这种数据分离具有以下安全优势。
- 它有助于对多个语义模型、数据流和数据市场重复使用凭据。
- 当有人分析语义模型的元数据时,他们无法提取凭据。
- 在 Power BI Desktop 中,另一个用户如果不首先应用凭据,将无法连接到原始数据源来刷新数据。
某些数据源支持单一登录 (SSO),可以在 Power BI 服务中为语义模型或网关数据源输入凭据时设置此信息。 启用 SSO 后,Power BI 会将经过身份验证的用户凭据发送到数据源。 此选项使 Power BI 能够遵守在数据源中指定的安全设置,例如低级别安全性。 当数据模型中的表使用 DirectQuery 存储模式时,SSO 尤其有用。
隐私级别
数据隐私级别指定隔离级别,用于定义一个数据源与其他数据源的隔离程度。 如果设置得当,它们可确保 Power Query 仅在源之间传输兼容的数据。 如果 Power Query 可以在数据源之间传输数据,则可以产生更高效的查询,从而减少发送到 Power BI 的数据量。 如果无法在数据源之间传输数据,则可能会导致性能降低。
有三个隐私级别。
- 专用:包括必须与所有其他数据源隔离的敏感或机密数据。 此级别限制最严格。 专用数据源数据不能与任何其他数据源共享。 例如,包含员工工资值的人力资源数据库应设置为“专用”隐私级别。
- 组织:与所有公共数据源隔离,但对于其他组织数据源可见。 此级别最常见。 组织数据源数据可以与专用数据源或其他组织数据源共享。 大多数内部操作数据库都可以使用“组织”隐私级别进行设置。
- 公共:可对任何数据源可见的非敏感数据。 此级别限制最宽松。 公共数据源数据可以与任何其他数据源共享。 例如,从政府网站获取的人口普查报告可以设置为“公共”隐私级别。
组合来自不同数据源的查询时,请务必设置正确的隐私级别。 只要隐私级别设置正确,就可将来自一个数据源的数据传输到另一个数据源,从而有效地查询数据。
考虑这样一个场景:语义模型创建者有两个数据源:Excel 工作簿和 Azure SQL 数据库中的表。 他们希望使用 Excel 工作簿中的值筛选 Azure SQL 数据库表中的数据。 Power Query 为 Azure SQL 数据库生成 SQL 语句的最有效方法是应用 WHERE 子句来执行必要的筛选。 但该 SQL 语句将包含一个 WHERE 子句谓词,其值源自 Excel 工作簿。 如果 Excel 工作簿包含敏感数据,则可能表示安全漏洞,因为数据库管理员可以使用跟踪工具查看 SQL 语句。 替代方法是,让 Power Query 糅合引擎下载数据库表的整个结果集并在 Power BI 服务中自行执行筛选,但此方法效率较低。 此方法效率低下,速度缓慢,但很安全。
可以为每个数据源设置隐私级别:
- Power BI Desktop 中的数据建模者。
- Power BI 服务中的语义模型所有者(适用于不需要网关的云数据源)。
- Power BI 服务中的网关数据源创建者和所有者(适用于网关数据源)。
重要
在 Power BI Desktop 中设置的隐私级别不会转移到 Power BI 服务。
可使用 Power BI Desktop 安全选项通过忽略隐私级别来提高性能。 如果不存在破坏数据安全的风险(因为处理的是不敏感的开发或测试数据),可以在开发数据模型时使用此选项来提高查询性能。 但是,Power BI 服务不支持此设置。
有关详细信息,请参阅 Power BI Desktop 隐私级别。
本机数据库查询
若要创建高效的 Power Query 查询,可以使用本机查询来访问数据。 本机查询是用数据源支持的语言编写的语句。 本机查询仅受特定数据源的支持,这些数据源通常是关系数据库(如 Azure SQL 数据库)。
本机查询可能会带来安全风险,因为它们可能会运行恶意 SQL 语句。 恶意语句可以执行数据修改或删除数据库记录(如果用户在数据源中具有所需权限)。 因此,默认情况下,本机查询需要用户批准才能在 Power BI Desktop 中运行。
可使用 Power BI Desktop 安全选项禁用预先批准的要求。 建议保留需要用户批准的默认设置,尤其是在预计其他用户可能会刷新 Power BI Desktop 文件时。
自定义连接器
开发人员可以使用 Power Query SDK 创建自定义连接器。 通过自定义连接器,可访问专有数据源,或使用自定义数据扩展插件实现特定身份验证。 某些自定义连接作为“经认证的连接器”由 Microsoft 认证和分发。 经过认证的连接器已经过审核和审查,以确保它们满足 Microsoft 已测试和批准的特定代码要求。
可使用 Power BI Desktop 数据扩展插安全选项来限制使用未经认证的连接器。 默认情况下,尝试加载未认证连接器时会引发错误。 通过将此选项设置为允许未认证连接器,自定义连接器将加载而不进行验证或警告。
建议将数据扩展的安全级别保持在较高级别,以防止加载未经认证的代码。 但在某些情况下,可能需要加载特定连接器,例如已开发的连接器,或者由未经 Microsoft 认证的可信顾问或供应商提供给你的连接器。
注意
内部开发的连接器的开发人员可以采取措施使用证书对连接器进行签名,使你无需更改安全设置即可使用连接器。 有关详细信息,请参阅受信任的第三方连接器。
清单 - 计划数据源权限时,关键决策和操作包括:
- 确定可直接访问每个数据源的人员:确定允许哪些数据创建者直接访问数据源。 如果有减少直接访问人数的策略,请明确指出首选的替代方法(例如使用数据流)。
- 确定访问数据源的方法:确定是否将单个用户凭据用于访问数据源,或者是否应为此创建服务帐户。 确定何时适合单一登录。
- 为语义模型创建者提供有关访问数据源的指导:为内容创建者提供有关如何访问组织数据源的文档。 将此信息发布到集中式门户和培训材料。
- 为网关连接创建者提供有关隐私级别的指导:为语义模型创建者提供指导,让他们了解隐私级别及其在处理敏感或机密数据时的影响。 将此信息发布到集中式门户和培训材料。
- 为网关连接创建者提供有关隐私级别的指导:为语义模型创建者提供指导,让他们了解隐私级别及其在处理敏感或机密数据时的影响。 在集中式门户和培训材料中发布此信息。
- 确定使用本机数据库查询的策略:请考虑使用本机数据库查询的策略。 指导语义模型创建者了解如何以及何时设置 Power BI Desktop 本机数据库查询选项,以在 Power Query 中运行本机查询时禁用预批准。
- 确定使用自定义连接器的策略:请考虑使用自定义连接器的策略。 确定使用未经认证的连接器是否合理,在这种情况下,告知语义模型创建者如何以及何时设置 Power BI Desktop 数据扩展选项。
语义模型创建者权限
可以通过不同的方式向用户或组分配编辑语义模型的权限。
- 工作区角色:分配任一工作区角色都可访问工作区中的所有语义模型。 查看或编辑现有语义模型的能力取决于分配的工作区角色。 管理员、成员和参与者可以在工作区中发布或编辑内容。
- 按项权限链接:如果为报表创建了共享链接,则该链接还会间接授予读取语义模型的权限,(以及可选的生成、写入和/或重新共享权限)。
- 按项直接访问权限:可以分配对特定语义模型的直接访问权限。
在以下屏幕截图中,请注意分配给“呼叫中心数据”语义模型的权限。 一个用户具有“读取”权限,这是通过使用按项直接访问权限授予的。 其余用户和组也具有权限,因为它们已分配有工作区角色。
提示
当用户或组的目的是查看或编辑工作区中的一个特定项时,使用按项权限(链接或直接访问)最有效。 它最适合在不允许用户访问工作区中的所有项时使用。 在大多数情况下,建议你设计工作区,使其能够轻松使用工作区角色来管理安全性。 尽可能避免设置按项权限。
语义模型权限
可以分配以下语义模型权限。
- 读取:此权限主要针对报表使用者,它允许报表查询语义模型中的数据。 如需详细了解有关查看只读内容的权限,请参阅报表使用者安全性计划一文。
- 生成:此权限主要针对报表创建者,它允许用户基于共享语义模型创建新报表。 有关详细信息,请参阅本文后面的报表创建者权限部分。
- 写入:此权限针对创建、发布和管理语义模型的语义模型创建者,它允许用户编辑语义模型。 本部分后面将对此内容进行说明。
- 重新共享:此权限针对拥有语义模型现有权限的任何人,它允许用户与另一个用户共享语义模型。 本部分后面将对此内容进行说明。
工作区管理员或成员可以编辑语义模型的权限。
语义模型读取权限
语义模型读取权限主要针对使用者。 用户必须具有此权限才能查看报表中显示的数据。 请注意,基于语义模型的报表还必须具有读取权限;否则,报表将无法加载。 有关设置报表读取权限的详细信息,请参阅报表使用者安全性计划一文。
语义模型生成权限
除语义模型读取权限外,内容创建者还需要具有语义模型生成权限。 具体而言,报表创建者使用生成权限可以:
- 基于语义模型创建新的 Power BI 报表。
- 使用“在 Excel 中分析”连接到语义模型。
- 使用 XMLA 终结点查询语义模型。
- 导出 Power BI 报表视觉对象基础数据(而不是由视觉对象检索的汇总数据)。
- 创建到 Power BI 语义模型的 DirectQuery 连接。 在这种情况下,新语义模型会连接到一个或多个现有的 Power BI 语义模型(称为“链接”)。 若要查询链接语义模型,语义模型创建者将需要所有上游语义模型的生成权限。 有关详细信息,请参阅本文后面的链接语义模型。
可通过不同方式直接或间接向用户或组授予生成权限。
- 通过以下方式直接授予生成权限:
- 在Power BI 服务的语义模型设置页上设置语义模型权限。
- 使用 Power BI REST API 设置语义模型权限。
- 通过以下方式间接授予生成权限:
- 共享报表或仪表板,并设置授予语义模型生成权限的选项。
- 发布 Power BI 应用并为受众设置高级选项,授予对相关语义模型的生成权限。
- 为用户分配管理员、成员或参与者工作区角色。
如果要按项精细地管理安全性,则适合为语义模型直接设置生成权限。 如果通过间接方法之一查看或使用内容的用户还将创建新内容,则适合间接设置生成权限。
提示
查看报表或 Power BI 应用的用户通常不同于使用基础语义模型创建新内容的用户。 大多数使用者只是查看者,因此他们不需要创建新内容。 建议指导内容创建者授予所需的最少权限。
语义模型写入权限
通常可通过为用户分配“管理员”、“成员”或“参与者”工作区角色,来设置可编辑和管理语义模型的人员的权限。 但也可为特定语义模型设置写入权限。
建议尽可能使用工作区角色,因为这是管理和审核权限的最简单方法。 如果选择创建较少的工作区,并且工作区包含需要不同权限管理的不同主题领域的语义模型,则按项使用语义模型写入权限。
提示
有关如何组织工作区的指导,请参阅工作区计划一文。
语义模型重新共享权限
语义模型重新共享权限允许具有现有权限的用户与其他用户共享语义模型。 如果语义模型中的内容可以自由共享,则用户可以自行选择是否共享。
在许多情况下,建议限制“重新共享”权限的使用,确保仔细控制语义模型权限。 请在授予“重新共享”权限之前,获取语义模型所有者的批准。
语义模型数据安全性
可通过强制实施数据安全性来计划创建更少的语义模型和报表。 目标是根据查看内容的用户的标识强制实施数据安全性。
语义模型创建者可以通过两种方式强制实施数据安全性。
- 行级别安全性 (RLS),它允许数据建模者限制对数据子集的访问。
- 对象级安全性 (OLS),它允许数据建模者限制对特定表和列及其元数据的访问。
RLS 和 OLS 的实现针对报表使用者。 有关详细信息,请参阅报表使用者安全性计划一文。 这篇文章介绍了如何以及何时为对语义模型具有仅查看权限的使用者强制执行 RLS 和 OLS。
对于针对其他报表创建者的 RLS 和 OLS,请参阅本文后面的报表创建者权限部分中的数据安全性。
链接语义模型
Power BI 语义模型可以在称为“链接”的过程中连接到其他语义模型,此过程是指与上游语义模型的连接。 有关详细信息,请参阅使用适用于 Power BI 语义模型和 Analysis Services 的 DirectQuery。
通过“允许 DirectQuery 连接到 Power BI 语义模型”租户设置,Power BI 管理员可以设置有权创建链接语义模型的内容创建者组。 如果不想限制语义模型创建者链接语义模型,可以为整个组织启用此设置并依赖于工作区访问和语义模型权限。 在某些情况下,可考虑将此功能限制为仅供获得批准的内容创建者使用。
注意
作为语义模型创建者,可以限制与语义模型的链接。 此操作可通过在 Power BI Desktop 中启用“阻止 DirectQuery 连接到此语义模型”选项来完成。 有关详细信息,请参阅管理与已发布语义模型的 DirectQuery 连接。
语义模型 API 查询
在某些情况下,可能需要使用 Power BI REST API 执行 DAX 查询。 例如,你可能想要执行数据质量验证。 有关详细信息,请参阅数据集 - 执行查询。
通过“数据集执行查询 REST API”租户设置,Power BI 管理员可以设置有权使用 Power BI REST API 发送 DAX 查询的用户组。 在大多数情况下,可以为整个组织启用此设置并依赖于工作区访问和语义模型权限。 在某些情况下,可考虑将此功能限制为仅供获得批准的内容创建者使用。
清单 - 计划语义模型创建者权限时,关键决策和操作包括:
- 确定语义模型创建者权限的策略:确定管理语义模型创建者安全性所需的首选项和要求。 请考虑主题领域和数据敏感度级别。 此外,请考虑负责在集中式和分散式业务单元中管理数据和权限的人员。
- 查看如何处理语义模型创建者的工作区角色:确定对工作区设计过程的影响。 为每个主题领域创建单独的数据工作区,以便可以更轻松地管理每个主题领域的工作区角色和语义模型安全性。
- 为语义模型创建者提供有关管理权限的指导:为语义模型创建者提供有关如何管理语义模型权限的文档。 将此信息发布到集中式门户和培训材料。
- 确定有权使用 Power BI 语义模型的 DirectQuery 连接的人员:对于有权创建到 Power BI 语义模型的连接的 Power BI 语义模型创建者(具有语义模型的现有生成权限),确定是否应对其设置限制。 设置“允许 DirectQuery 连接到 Power BI 语义模型”租户设置,使其与此决策保持一致。 如果决定限制此功能,请考虑使用“Power BI 批准的语义模型创建者”等组。
- 使用 REST API 确定可以查询 Power BI 语义模型的人员:确定是否使用 Power BI REST API 限制 Power BI 内容创建者查询 Power BI 语义模型。 设置“数据集执行查询 REST API”租户设置,使其与此决策保持一致。 如果决定限制此功能,请考虑使用“Power BI 批准的报表创建者”等组。
- 确定语义模型创建者使用 RLS 或 OLS 的策略:请考虑你打算使用 RLS 或 OLS 的用例和目的。 要为语义模型创建者强制实施 RLS 或 OLS,请考虑工作区设计策略以及谁具有读取权限与编辑权限。
报表创建者权限
报表创建者需要工作区访问权限才能在 Power BI 服务中创建报表或从 Power BI Desktop 发布报表。 他们必须是目标工作区的管理员、成员或参与者。
报表创建者应尽可能通过实时连接或 DirectQuery 使用现有共享语义模型。 这样,报表创建过程就会与语义模型创建过程分离。 这种类型的分离为安全和团队开发方案提供了许多好处。
报表创建者必须是工作区管理员、成员或参与者。
与语义模型不同,报表没有写入权限。 要支持报表创建者,必须使用工作区角色。 因此,优化工作区设计对于平衡内容组织和安全需求至关重要。
提示
有关支持报表使用者(包括读取和重新共享按项权限)的权限,请参阅报表使用者安全性计划一文。
基础语义模型的读取和生成权限
报表创建者必须对其报表将使用的语义模型(包括链接语义模型)拥有读取和生成权限。 可以在单个语义模型上显式授予该权限,或者当报表创建者是工作区管理员、成员或参与者时,可以为工作区语义模型隐式授予该权限。
通过“跨工作区使用语义模型”租户设置,Power BI 管理员可以设置有权使用位于其他工作区中的语义模型创建报表的用户组。 此设置针对语义模型和报表创建者。 通常,建议为整个组织启用此设置并依赖于工作区访问设置和语义模型权限。 这样,就可鼓励使用现有语义模型。 在某些情况下,可考虑将此功能限制为仅供获得批准的内容创建者使用。
还有“允许实时连接”租户设置,通过此设置,Power BI 管理员可以设置有权在 Power BI Desktop 或 Excel 中创建到语义模型的实时连接的用户组。 此设置专门针对报表创建者,它还要求授予他们对报表将使用的语义模型的“读取”和“生成”权限。 建议为整个组织启用此设置并依赖于工作区访问和语义模型权限。 这样,就可鼓励使用现有语义模型。 在某些情况下,可考虑将此功能限制为仅供获得批准的内容创建者使用。
基础语义模型的数据安全性
本文前面所述的 RLS 和 OLS 主要针对报表使用者。 但有时还需要为报表创建者强制执行 RLS 和 OLS。 如果需要为报表创建者和报表使用者强制实施 RLS,可以创建单独的工作区。
请考虑以下场景。
- 使用 RLS 集中共享语义模型:企业 BI 团队已将销售语义模型发布到“销售数据”工作区。 这些语义模型强制实施 RLS 以显示报表使用者分配的销售区域的销售数据。
- 分散式自助服务报表创建者:销售和营销业务部门有许多有能力的分析师,他们可以自行创建报表。 他们将报表发布到“Sales Analytics”工作区。
- 语义模型的读取和生成权限:只要有可能,分析师就将使用“销售数据”工作区中的语义模型来避免不必要的数据重复。 由于分析师仅对这些语义模型具有读取和生成权限(没有写入或编辑权限),因此将针对报表创建者和报表使用者强制实施 RLS。
- 报表工作区的编辑权限:分析师在“Sales Analytics”工作区中拥有更多权限。 管理员、成员或参与者工作区角色允许他们发布和管理其报表。
有关 RLS 和 OLS 的详细信息,请参阅报表使用者安全性计划一文。 这篇文章介绍了如何以及何时为对语义模型具有仅查看权限的使用者强制执行 RLS 和 OLS。
连接外部语义模型
当报表创建者连接到其报表共享的语义模型时,他们通常会连接到在其自己的 Power BI 租户中发布的共享语义模型。 授予权限后,还可连接到另一个租户中的共享语义模型。 另一个租户可以是合作伙伴、客户或供应商。
此功能称为就地语义模型共享(也称为“跨租户语义模型共享”)。 报表创建者创建的报表(或语义模型创建者创建的新复合模型)通过使用正常流程存储在 Power BI 租户中并受到保护。 原始共享语义模型保留在其原始 Power BI 租户中,所有权限都在那里进行管理。
有关详细信息,请参阅租户级安全性计划一文。 该文章介绍了有关租户设置和语义模型设置的信息,这些设置使外部共享能够正常运行。
精选表
在 Power BI Desktop 中,语义模型创建者可以将模型表设置为精选表。 将语义模型发布到 Power BI 服务时,报表创建者可以使用 Excel 中的数据类型库查找精选表,从而允许他们添加精选表数据来扩充其 Excel 工作表。
通过“允许连接到精选表”租户设置,Power BI 管理员可以设置有权访问精选表的用户组。 此设置针对希望访问 Excel 组织数据类型中的 Power BI 精选表的 Excel 用户。 建议为整个组织启用此设置并依赖于工作区访问和语义模型权限。 这样,就可以鼓励使用精选表。
自定义视觉对象权限
除了核心视觉对象,Power BI 报表创建者还可使用自定义视觉对象。 在 Power BI Desktop 中,可从 Microsoft AppSource 下载自定义视觉对象。 还可使用 Power BI SDK 在内部开发它们,并通过打开视觉对象文件 (.pbviz) 进行安装。
可从 AppSource 下载的一些视觉对象是经过认证的视觉对象。 已认证的视觉对象满足 Microsoft Power BI 团队已测试和批准的某些指定代码要求。 这些测试可检查无法访问外部服务或资源的视觉对象。
通过“允许通过 Power BI SDK 创建的视觉对象”租户设置,Power BI 管理员可控制有权使用自定义视觉对象的用户组。
还有“仅添加和使用经过认证的视觉对象”租户设置,通过此设置,Power BI 管理员可阻止在 Power BI 服务中使用未经认证的视觉对象。 可以为整个组织启用或禁用此设置。
注意
如果阻止使用未经认证的视觉对象,则它仅适用于Power BI 服务。 如果要限制其在 Power BI Desktop 中的使用,请让系统管理员使用组策略设置来阻止在 Power BI Desktop 中使用它们。 执行此步骤可确保报表创建者不会浪费时间和精力来创建在发布到Power BI 服务后无法运行的报表。 强烈建议将用户设置为在 Power BI 服务(使用租户设置)和 Power BI Desktop(使用组策略)中获得一致的体验。
Power BI Desktop 可以选择在报表创建者向报表添加自定义视觉对象时显示安全警告。 报表创建者可以禁用此选项。 此选项不会测试视觉对象是否经过认证。
Power BI 管理员可为其组织批准和部署自定义视觉对象。 报表创建者可轻松发现、更新和使用这些视觉对象。 然后,管理员可以通过更新版本或禁用和启用特定的自定义视觉对象来管理这些视觉对象。 如果要向报表创建者提供内部开发的视觉对象,或者从某个未显示在 AppSource 中的供应商处获取自定义视觉对象,此方法非常有用。 有关详细信息,请参阅 Power BI 组织视觉对象。
请考虑一种平衡的策略,即在组织中仅启用经过认证的自定义视觉对象(使用前面描述的租户设置和组策略),同时部署组织视觉对象来处理任何异常。
清单 - 计划报表创建者权限时,关键决策和操作包括:
- 确定报表创建者权限的策略:确定管理报表创建者安全性所需的首选项和要求。 请考虑主题领域和数据敏感度级别。 此外,请考虑负责在集中式和分散式业务单元中创建和管理报表的人员。
- 查看如何处理报表创建者的工作区角色:确定对工作区设计过程的影响。 为每个主题领域创建单独的数据工作区和报告工作区,以便简化主题领域的工作区角色(和基础语义模型安全性)。
- 为报表创建者提供有关管理权限的指导:为报表创建者提供有关如何管理报表使用者的权限的文档。 在集中式门户和培训材料中发布此信息。
- 确定可使用共享语义模型的人员:对于有权跨工作区使用语义模型的 Power BI 报表创建者(已具有语义模型的读取和生成权限),确定是否应对其设置任何限制。 设置“跨工作区使用语义模型”租户设置,使其与此决策保持一致。 如果决定限制此功能,请考虑使用“Power BI 批准的报表创建者”等组。
- 确定可使用实时连接的人员:对于有权使用实时连接的 Power BI 报表创建者(已具有语义模型的读取和生成权限),确定是否应对其任何设置限制。 设置“允许实时连接”租户设置,使其与此决策保持一致。 如果决定限制此功能,请考虑使用“Power BI 批准的报表创建者”等组。
- 确定报表创建者使用 RLS 的策略:请考虑你打算使用低级别安全性的用例和目的。 请考虑工作区设计策略,确保为报表创建者强制执行 RLS。
- 确定使用自定义视觉对象的策略: 请考虑报表创建者可使用自定义视觉对象的策略。 设置“允许通过 Power BI SDK 创建的视觉对象”租户设置,使其与此决策保持一致。 创建使用组织视觉对象的过程(如果适用)。
数据流创建者权限
数据流有助于集中进行数据准备,使在 Power Query 中完成的工作不会在多个语义模型中重复。 它们是实现单一可信源、防止分析师直接访问源以及帮助大规模执行提取、转换和加载 (ETL) 操作的构建基块。
数据流创建者必须是工作区管理员、成员或参与者。
要使用数据流(例如,从在 Power BI Desktop 或另一个工作区中创建的新数据模型中),语义模型创建者可以属于任何工作区角色,包括“查看者”角色。 数据流没有 RLS 的概念。
除工作区角色外,还必须启用“创建和使用数据流”租户设置。 此租户设置适用于整个组织。
请考虑以下场景。
- 组织中的许多语义模型都需要强制实施动态 RLS。 它要求用户主体名称 (UPN) 存储在语义模型中(用于按报表使用者的标识进行筛选)。
- 属于人力资源部门的数据流创建者创建当前员工详细信息(包括 UPN)的数据流。 他们将数据流设置为每日刷新。
- 然后,语义模型创建者在其模型设计中使用数据流来设置 RLS。
有关使用数据流的详细信息,请参阅自助式数据准备和高级数据准备使用方案。
清单 - 计划数据流创建者权限时,关键决策和操作包括:
- 确定数据流创建者权限的策略:确定管理数据流创建者安全性所需的首选项和要求。 请考虑允许或鼓励谁来负责在集中式和分散式业务部门中管理数据准备活动。
- 确定可创建数据流的人员:对于有权创建数据流的 Power BI 数据创建者,确定是否应对其设置任何限制。 设置“创建和使用数据流”租户设置,使其与此决策保持一致。
- 查看如何处理数据流创建者的工作区角色:确定对工作区设计过程的影响。 为每个主题领域创建单独的数据流工作区,以便在适当时可以单独处理每个主题领域的工作区角色和权限。
数据市场创建者权限
数据市场是一种自助式分析解决方案,使用户能够存储和浏览在完全托管的关系数据库中加载的数据。 它还包括自动生成的语义模型。
数据市场提供简单的低代码体验,用于从不同数据源引入数据,并使用 Power Query Online 提取、转换和加载 (ETL) 数据。 数据将加载到完全托管的 Azure SQL 数据库中,无需微调或优化。 自动生成的语义模型始终与托管数据库同步,因为它处于 DirectQuery 模式。
如果你是工作区管理员、成员或参与者,就可创建数据市场。 工作区角色也会映射到 Azure SQL 数据库中的数据库级角色(但是,由于数据库是完全托管的,因此无法在关系数据库中编辑或管理用户权限)。
通过“创建数据市场”租户设置,Power BI 管理员可以设置有权创建数据市场的用户组。
数据市场共享
对于数据市场,“共享”一词与其他 Power BI 内容类型的含义不同。 共享操作通常以使用者为目标,因为它为一项(如报表)提供只读权限。
共享数据市场针对的是内容创建者,而不是使用者。 它授予读取和生成权限,使用户能够查询任何他们喜欢的语义模型或关系数据库。
共享数据市场使内容创建者能够:
- 使用自动生成的语义模型生成内容:语义模型是可在其上生成 Power BI 报表的语义层。 大多数报表创建者应使用语义模型。
- 连接到 Azure SQL 数据库并查询:关系数据库对于想创建新语义模型或分页报表的内容创建者非常有用。 他们可以编写结构化查询语言 (SQL) 查询,以使用 SQL 终结点检索数据。
数据市场行级别安全性
可以定义数据市场的 RLS,以限制指定用户的数据访问。 RLS 在 Power BI 服务的数据市场编辑器中进行设置,并自动应用于自动生成的语义模型和 Azure SQL 数据库(作为安全规则)。
无论用户选择以何种方式连接到数据市场(连接到语义模型或数据库),都会强制执行相同的 RLS 权限。
清单 - 计划数据市场创建者权限时,关键决策和操作包括:
- 确定数据市场创建者权限的策略:确定管理数据市场创建者安全性所需的首选项和要求。 请考虑允许或鼓励谁来负责在集中式和分散式业务部门中管理数据。
- 确定可创建数据市场的人员:对于有权创建数据市场的 Power BI 数据创建者,确定是否应对其设置任何限制。 设置“创建数据市场”租户设置,使其与此决策保持一致。 如果决定对创建数据市场的人员加以限制,请考虑使用“Power BI 批准的数据市场创建者”等组。
- 查看如何处理数据市场创建者的工作区角色:确定对工作区设计过程的影响。 为每个主题领域创建单独的数据工作区,以便简化主题领域的工作区角色和语义模型安全性。
- 为数据市场创建者提供有关管理权限的指导:为数据市场创建者提供有关如何管理数据市场权限的文档。 在集中式门户和培训材料中发布此信息。
- 确定在数据市场中使用 RLS 的策略:考虑打算在数据市场中使用 RLS 的用例和目的。
记分卡创建者权限
通过 Power BI 中的指标,你可以策展特定指标,并根据关键业务目标跟踪这些指标。 指标将添加到记分卡,可以与其他用户共享并在单个窗格中查看记分卡。
可以使用三级权限保护记分卡:
- 工作区。
- 记分卡(按项)权限。
- (记分卡中的)指标。
创建或完全管理记分卡的用户必须是工作区管理员、成员或参与者。
由于指标通常涵盖多个主题领域,因此建议创建单独的工作区,以便可以独立管理创建者和使用者的权限。
通过“创建和使用指标”租户设置,Power BI 管理员可以设置有权创建记分卡指标的用户组。
记分卡权限
可以分配以下记分卡权限。
- 读取:用户可通过此权限查看记分卡。
- 重新共享:此权限针对拥有记分卡现有权限的任何人,它允许用户与另一个用户共享记分卡。
与 Power BI 服务中的其他内容类型一致,当打算与另一个用户共享一个某一项时,按项权限非常有用。 建议尽可能使用工作区角色和应用权限。
指标级别权限
每个记分卡都有一组可在记分卡设置中设置的指标级权限。 (记分卡内)的指标级权限的授予方式可能不同于工作区或记分卡(按项)权限的授予方式。
通过指标级角色,可以设置:
- 谁可以查看记分卡上的单个指标。
- 谁可以通过以下方式更新单个指标:
- 在签入期间更新状态。
- 在签入期间添加备注。
- 在签入期间更新当前值。
要降低将来的维护级别,可以设置默认权限,这些权限将由将来创建的子指标继承。
清单 - 计划指标创建者权限时,关键决策和操作包括:
- 确定记分卡创建者权限的策略:确定管理记分卡创建者安全性所需的首选项和要求。 请考虑允许或鼓励谁来负责在集中式和分散式业务部门中管理数据。
- 确定可创建记录卡的人员:对于有权创建记录卡的 Power BI 数据创建者,确定是否应对其设置任何限制。 设置“创建和使用指标”租户设置,使其与此决策保持一致。 如果决定对创建记分卡的人员加以限制,请考虑使用“Power BI 批准的记分卡创建者”等组。
- 查看如何处理记分卡创建者的工作区角色:确定对工作区设计过程的影响。 如果内容涵盖多个主题领域,请考虑为记分卡创建单独的工作区。
- 为记分卡创建者提供有关管理权限的指导:为记分卡创建者提供有关如何管理记分卡权限的文档。 在集中式门户和培训材料中发布此信息。
发布内容
本部分包含与发布内容相关的主题,这些内容与内容创建者相关。
工作区
内容创建者需要拥有管理员、成员或参与者角色访问权限才能将内容发布到工作区。 有关详细信息,请参阅本文前面的工作区角色。
除个人 BI 外,应鼓励内容创建者将内容发布到标准工作区,而不是个人工作区。
“阻止重新发布并禁用程序包刷新”租户设置可更改发布语义模型的行为。 启用后,工作区管理员、成员或参与者无法将更改发布到语义模型。 仅允许语义模型所有者发布更新(强制先接管语义模型,然后再发布更新的语义模型)。 由于此租户设置适用于整个组织,因此请谨慎启用它,因为它会影响租户的所有语义模型。 请确保向语义模型创建者传达预期内容,因为这会更改工作区角色的正常行为。
Power Apps 同步
可以创建包含嵌入式 Power BI 报表的 Power Apps 解决方案。 Power Apps 过程将自动创建专用 Power BI 工作区,用于存储和保护 Power BI 报表和语义模型。 要管理 Power Apps 和 Power BI 中存在的项,需要执行同步过程。
该过程将同步安全角色,以确保 Power BI 继承最初在 Power Apps 中设置的相同角色。 它还允许内容创建者管理可以查看嵌入在 Power App 中的 Power BI 报表(以及相关语义模型)的人员的权限。
有关将 Power Apps 角色与 Power BI 工作区角色同步的详细信息,请参阅 Power Apps 环境和 Power BI 工作区之间的权限同步。
部署管道访问
内容创建者和所有者可以使用 Power BI 部署管道进行自助内容发布。 部署管道简化了发布流程并提高了发布新内容时的控制度。
管道权限(针对可以使用部署管道部署内容的用户)与工作区角色是分开管理的。 执行部署的用户需要有权访问工作区和部署管道。
内容创建者可能还需要:
- 工作区创建权限(工作区需要由管道创建时)。
- Premium 或 Fabric 容量权限(工作区由管道分配时)。
重要
有时本文指的是 Power BI Premium 或其容量订阅 (P SKU)。 请注意,Microsoft 目前正在合并购买选项并停用 Power BI Premium Per Capacity SKU。 新客户和现有客户应考虑改为购买 Fabric 容量订阅 (F SKU)。
有关详细信息,请参阅 Power BI Premium 许可即将进行的重要更新和 Power BI Premium 常见问题解答。
有关详细信息,请参阅访问部署管道。
XMLA 终结点
XMLA 终结点使用 XMLA 协议公开表格数据模型的所有功能,包括 Power BI Desktop 不支持的一些数据建模操作。 可以使用表格对象模型 (TOM) 对数据模型进行编程更改。
XMLA 终结点还提供连接。 仅当工作区的许可模式设置为“Premium Per User”、“Premium Per Capacity”或“Embedded”时,才能连接到语义模型。 建立连接后,XMLA 兼容的工具可对数据模型进行操作,以读取或写入数据。 有关如何使用 XMLA 终结点管理语义模型的详细信息,请参阅高级数据模型管理使用方案。
通过 XMLA 终结点进行访问将使用现有权限。 工作区管理员、成员和参与者隐式具有语义模型写入权限,这意味着他们可以从 Visual Studio 部署新语义模型,并在 SQL Server Management Studio (SSMS) 中执行表格建模脚本语言 (TMSL) 脚本。
具有语义模型“生成”权限的用户可以使用 XMLA 终结点连接到语义模型并浏览语义模型,以便使用和可视化数据。 由于遵循的是 RLS 规则,因此用户无法查看内部语义模型元数据。
“允许通过本地语义模型使用 XMLA 终结点和在 Excel 中分析”租户设置是指两种功能:一是控制有权使用 XMLA 终结点查询和/或维护 Power BI 服务中的语义模型的用户组。 二是确定“在 Excel 中分析”是否可以与本地 SQL Server Analysis Services (SSAS) 模型一起使用。
注意
该租户设置的“在 Excel 中分析”仅适用于本地 SQL Server Analysis Services (SSAS) 模型。 标准“在 Excel 中分析”功能连接到Power BI 服务中的 Power BI 语义模型,由“允许实时连接”租户设置控制。
发布到 Web
发布到 Web 这项功能可让 Internet 上的任何人访问 Power BI 报表。 它不需要身份验证,并且不会出于审核目的记录访问。 由于报表使用者不需要属于组织,也不需要拥有 Power BI 许可证,因此此方法非常适合发布资料新闻,也就是将报表嵌入博客文章、网站、电子邮件或社交媒体的情况。
注意
发布到 Web 可能会有意或无意公开敏感或机密数据。 因此在默认情况下禁用此功能。 发布到 Web 只能用于包含可供公众查看的数据的报表。
通过“发布到 Web”租户设置,Power BI 管理员可以控制有权将报表发布到 Web 的用户组。 要保持更高级别的控制,建议不要在此租户设置中包含其他组(如 Power BI 管理员或其他类型的内容创建者)。 相反,请使用安全组(如 Power BI 公共发布)强制执行特定用户访问。 确保安全组受到良好管理。
在自定义应用中嵌入内容
通过“在应用中嵌入内容”租户设置,Power BI 管理员可以控制有权在 Power BI 服务外部嵌入 Power BI 内容的用户。 计划将 Power BI 内容嵌入自定义应用程序时,请为特定组(例如应用开发人员)启用此设置。
在 PowerPoint 中嵌入内容
通过“为 PowerPoint 启用 Power BI 加载项”租户设置,Power BI 管理员可以控制有权在 PowerPoint 演示文稿中嵌入 Power BI 报表页的用户。 如果适用,请为特定组(例如报表创建者)启用此设置。
注意
若要使此功能正常工作,用户必须安装 PowerPoint 的 Power BI 加载项。 要使用加载项,用户要么必须有权访问 Office 加载项商店,要么该加载项必须作为管理员管理的加载项可供他们使用。 有关详细信息,请参阅 PowerPoint 的 Power BI 加载项。
教育报表创建者要对有关保存 PowerPoint 演示文稿的位置及其共享对象多加谨慎。 这是因为当用户打开演示文稿时,会向其显示 Power BI 报表视觉对象的图像。 该图像是从上次连接 PowerPoint 文件时捕获的。 但是,图像可能会无意中显示接收用户无权查看的数据。
注意
当接收用户还没有加载项时,或者在加载项连接到 Power BI 服务检索数据之前,图像可能很有用。 用户连接后,只能从 Power BI 检索用户可以看见的数据(强制执行 RLS)。
模板应用
模板应用使 Power BI 合作伙伴和软件供应商能够在极少编码或没有编码的情况下生成 Power BI 应用,并将它们部署到任何 Power BI 客户。
通过“发布模板应用”租户设置,Power BI 管理员可以控制有权在组织外部发布模板应用的用户(例如通过 Microsoft AppSource)。 对于大多数组织,应禁用或严格控制此租户设置。 请考虑使用安全组,例如“Power BI 外部模板应用创建者”。
电子邮件订阅
你可为自己和他人订阅 Power BI 报表、仪表板和分页报表。 然后,Power BI 将按你设置的计划发送电子邮件。 电子邮件将包含一个快照,以及指向报表或仪表板的链接。
如果你是工作区管理员、成员或参与者,则可以创建包含其他用户的订阅。 如果报表位于高级工作区中,则可以订阅组(无论这些组是否在你的域中)和外部用户。 设置订阅时,还可以选择向项授予权限。 按项直接访问权限就用于此目的,如报表使用者安全性计划一文中所述。
注意
电子邮件订阅功能有可能与内部和外部受众共享内容。 此外,当对基础语义模型强制实施 RLS 时,将使用订阅用户的安全上下文生成附件和图像。
通过“电子邮件订阅”租户设置,Power BI 管理员可以控制是为整个组织启用还是禁用此功能。
与许可和租户设置限制相关的附件存在一些限制。 有关详细信息,请参阅 Power BI 服务中的报表和仪表板的电子邮件订阅。
清单 - 计划发布内容时,关键决策和操作包括:
- 确定发布内容的位置、发布方式和发布对象的策略:确定发布内容的位置存在哪些首选项和要求。
- 验证工作区访问权限:确认工作区设计方法。 验证如何使用工作区访问角色来支持发布内容的策略。
- 确定如何处理部署管道权限:确定允许哪些用户使用部署管道发布内容。 相应地设置部署管道权限。 请确保也提供工作区访问权限。
- 确定可使用 XMLA 终结点连接到语义模型的人员:确定允许哪些用户使用 XMLA 终结点查询或管理语义模型。 设置“允许通过本地语义模型使用 XMLA 终结点和在 Excel 中分析”租户设置,使其与此决策保持一致。 如果决定限制此功能,请考虑使用“Power BI 批准的内容创建者”等组。
- 确定可以公开发布报表的人员:确定允许哪些用户公开发布 Power BI 报表(如果有)。 设置“发布到 Web”租户设置,使其与此决策保持一致。 使用“Power BI 公共发布”等组。
- 确定可以在自定义应用中嵌入内容的人员:确定有权在 Power BI 服务外部嵌入内容的人员。 设置“在应用中嵌入内容”租户设置,使其与此决策保持一致。
- 确定可以在 PowerPoint 中嵌入内容的人员:确定有权在 PowerPoint 中嵌入内容的人员。 设置“为 PowerPoint 启用 Power BI 加载项”租户设置,使其与此决策保持一致。
- 确定可以发布模板应用的人员:确定在组织外部使用模板应用的策略。 设置“发布模板应用”租户设置,使其与此决策保持一致。
- 确定是否启用订阅:确认使用订阅的策略是什么。 设置“电子邮件订阅”租户设置,使其与此决策保持一致。
刷新数据
发布后,数据创建者应确保定期刷新其语义模型和数据流(包含导入的数据)。 还应为语义模型和数据流所有者确定适当的策略。
语义模型所有者
每个语义模型都有一个所有者,即单个用户帐户。 需要语义模型所有者才能设置语义模型刷新和设置语义模型参数。
默认情况下,语义模型所有者还会收到来自需要生成权限的报表创建者的访问请求(除非语义模型的“请求访问设置”设置为提供自定义说明)。 有关详细信息,请参阅本文中的为创建者请求访问工作流部分。
Power BI 可通过两种方式获取凭据来刷新语义模型。
- 语义模型所有者将凭据存储在语义模型设置中。
- 语义模型所有者引用语义模型设置中的网关(包含具有存储凭据的数据源)。
如果其他用户需要设置刷新或设置语义模型参数,他们必须拥有语义模型的所有权。 语义模型所有权可由工作区管理员、成员或参与者接管。
注意
获取语义模型所有权会永久删除语义模型的任何存储凭据。 必须重新输入凭据才能恢复数据刷新操作。
理想情况下,语义模型所有者是负责语义模型的用户。 当语义模型所有者离开组织或更改角色时,应更新他们。 此外,请注意,当语义模型所有者的用户帐户在 Microsoft Entra ID 中禁用时,会自动禁用数据刷新。 在这种情况下,另一个用户必须拥有语义模型的所有权才能恢复数据刷新操作。
数据流所有者
与语义模型一样,数据流也有一个所有者,即单个用户帐户。 上一主题中提供的有关语义模型所有者的信息和指南也适用于数据流所有者。
清单 - 计划与数据刷新过程相关的安全性时,关键决策和操作包括:
- 确定数据流所有者的策略:确定管理数据流所有者的首选项和要求。
- 确定数据流所有者的策略:确定管理数据流所有者的首选项和要求。
- 包含面向语义模型创建者的文档和培训:为数据创建者提供有关如何管理每种类型的项的所有者的指南。
相关内容
有关有助于做出 Power BI 实现决策的其他注意事项、操作、决策标准和建议,请参阅要考虑的主题领域。